WEKO3
アイテム
異種分散環境におけるロールベースアクセス制御の定量的リスク評価
https://ipsj.ixsq.nii.ac.jp/records/67453
https://ipsj.ixsq.nii.ac.jp/records/6745333e6a70e-962a-4060-821a-2d0901d2d88c
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL5011014.pdf (1.8 MB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-11-15 | |||||||
| タイトル | ||||||||
| タイトル | 異種分散環境におけるロールベースアクセス制御の定量的リスク評価 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Quantitative Risk Evaluation of Role-Based Access Control for Heterogeneous Distributed Environment | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 一般論文 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 三菱電機インフォメーションシステムズ株式会社/京都大学 | ||||||||
| 著者所属 | ||||||||
| 早稲田大学 | ||||||||
| 著者所属 | ||||||||
| 京都大学 | ||||||||
| 著者所属 | ||||||||
| 三菱電機インフォメーションシステムズ株式会社 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Mitsubishi Electric Information Systems Corporation / Kyoto University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Waseda University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Kyoto University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Mitsubishi Electric Information Systems Corporation | ||||||||
| 著者名 |
近藤, 誠一
岩井原, 瑞穂
吉川, 正俊
虎渡, 昌史
× 近藤, 誠一 岩井原, 瑞穂 吉川, 正俊 虎渡, 昌史
|
|||||||
| 著者名(英) |
Seiichi, Kondo
Mizuho, Iwaihara
Masatoshi, Yoshikawa
Masashi, Torato
× Seiichi, Kondo Mizuho, Iwaihara Masatoshi, Yoshikawa Masashi, Torato
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 企業活動においてITシステムの重要インフラ化が進み,これまでの個別セキュリティ対策から企業統制への展開が進んでいる.企業統制の中で重要となるアクセス制御に関しては,ロールベースアクセス制御(RBAC)モデルに基づくシステムやセキュリティ製品が企業向けに実践されつつある.特に,地理的な分散や,物理セキュリティを含む異種システムの統合を課題とする大企業向けに,環境に応じたさまざまな拡張が行われている.本論文ではそれらのRBAC拡張モデルを,定量的に評価するための手法について示す.大規模企業の要求に応じてコスト的に効果的な拡張モデルを選択するために,本論文では,故障木に基づく定量的リスク評価手法を提案する.トップ事象として,セキュリティ違反,機会損失,システム管理コストを,中間事象,基本事象としてセキュリティインシデント,RBAC標準関数とそれらの詳細操作を持つ故障木を作成した.故障木の事象の発生確率は評価対象のRBAC拡張モデルを適用した環境をもとに計算される.この手法を実際に企業で利用されているRBAC拡張システムに適用した例を示し,セキュリティ向上,コスト低減の評価に効果的であることを示す. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Total and centralized security management of large enterprises has been in focus, due to the increasing demands on corporate governance. Systems and security products based on the RBAC model have been widely introduced to enterprises. Especially, the demands on enforcement of enterprise-level security policies and total identity management are rapidly growing. The RBAC model needs to be extended to deal with various circumstances of large enterprises, such as geographical distribution and heterogeneous environments including physical securities. In this paper we propose quantitative risk evaluation method for their RBAC extension models. In order to select most cost-effective RBAC extensions for enterprise-wide requirements, we propose a quantitative risk evaluation method based on fault trees. We construct fault trees having security violation, productivity loss, and system management const as top events, and RBAC standard functions and security incidents as intermediate and basic events. Probabilities of top events are computed for given RBAC models and operation environments. We apply this method to two new RBAC extensions and confirm that these two extensions are more safer and cost effective than the base RBAC model. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 50, 号 11, p. 2727-2739, 発行日 2009-11-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
